Facebook为第三方应用程序开发人员提供了三周的时间来响应漏洞报告,并为三个月内的漏洞修复(在公开披露之前)。
这家社交媒体巨头本周完成了《漏洞披露政策》,旨在研究人员可能在第三方代码和系统(包括开源应用程序)中发现的错误。
Facebook表示,该政策的目的是确保尽快解决已发现的问题,并确保受影响的人了解此事,以便他们修补系统以保持保护。
该社交平台还指出,具有高影响力的安全漏洞将在公开披露之前得到更多的关注,并且其研究人员将与应用程序开发人员紧密合作,以在需要时协助解决问题。
“我们希望第三方在21天之内做出回应,让我们知道如何缓解该问题以保护受影响的人们。如果我们在举报后21天内没有收到回音,Facebook保留披露此漏洞的权利。报告后,如果在90天内没有显示问题在一个合理的方式得到解决的修复或更新,Facebook将披露的漏洞,”该公司说。
Facebook还透露,如果它确定在确定的时间表之前披露漏洞将使公众受益,它可能会这样做。
作为负责任的披露程序的一部分,Facebook将做出合理的努力与受影响的第三方联系,并将为他们提供理解所报告问题所需的信息。如果需要,将提供其他信息。
“如果我们在收到确认漏洞报告的联系人后的21天内未收到答复,我们将假定将不采取任何措施。然后,我们保留披露此问题的权利。” Facebook说。报告的发送被认为是时间表的开始。
该公司表示愿意与第三方合作进行修复,但希望缓解措施的透明度。第三方有望在90天内解决报告的漏洞,如果未发现缓解情况,Facebook将尽快公开披露此问题。
Facebook的漏洞披露政策还详细说明了披露途径,以及公司偏离90天补丁要求的潜在情况,例如积极利用已发现的安全漏洞或不必要地延迟部署修补程序。
“我们将努力在执行此政策时保持尽可能一致。该政策的任何内容均无意取代Facebook与第三方之间可能达成的其他协议,例如我们的Facebook Platform政策或合同义务,”该社交平台说。
Facebook 本周还推出了WhatsApp安全顾问,该资源旨在通过提供有关消息传递服务和应用程序中已解决的所有漏洞的信息来提高透明度。
“由于应用商店的政策和做法,我们不能总是在应用发行说明中列出安全建议。该咨询页面提供了WhatsApp安全更新以及相关的常见漏洞和披露(CVE)的完整列表。请注意,CVE描述中包含的详细信息旨在帮助研究人员了解技术方案,并不意味着用户受到这种方式的影响。”
此外,Facebook表示,一旦发现影响其代码的安全问题,它将通知第三方库的开发人员和移动操作系统提供商。